Top 10 Security Issue Solution
OWASP Top 10 Security Issue
Injection
sql语句全部使用参数形式调用,不拼sql语句
对输入都要验证:客户端验证+服务器段验证
数据库操作的授权
针对每个输入Field,来验证字符串是否允许输入
Cross-Site Scripting (XSS)
输入参数,使用微软的Anti-XSS组件过滤
输出到界面html元素’s string, 使用微软的Anti-XSS组件过滤
SRE(Security Runtime Engine) HttpModule全自动方式
Broken Authentication and Session Management
Unknow
Insecure Direct Object References
业务对象表:技术主键ID(Int)+对外引用ID(Guid)
application layer: 增加一些HashTable==> Guid-->Int 对应关系全局缓存
Cross-Site Request Forgery (CSRF)
使用微软的Anti-CSRF组件过滤每个post请求
Security Misconfiguration(NEW)
Web.config命令行加密
Insecure Cryptographic Storage
对称加密配合随机的PasswordSalt参数
Failure to Restrict URL Access
使用.net提供的membershipprovider组件来实现url保护
配合web.config中的Allow/Deny关键字
Or
使用给每个aspx页面写basepage以达到对每个页面进行权限判断
Insufficient Transport Layer Protection
验证页面:ssl, httponly, cookie
UnvalidatedRedirects and Forwards (NEW)
针对每个需要重定向的url进行验证是否合法
转载于:https://www.cnblogs.com/aarond/archive/2012/06/20/Security.html
Top 10 Security Issue Solution相关推荐
- Top 10 Security Risks for 2014
瞌睡龙 · 2014/08/06 12:48 information from WooYun A1-互联网泄密事件/撞库攻击 以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试 ...
- Web Application Security 网络应用程序安全 - (二)2010年网络安全威胁排行榜TOP 10...
貌似距离我的上一篇关于Web Application Security的文章(Web Application Security 网络应用程序安全 - (一)启航)已经过了很久很久了,这段时间主要都在忙 ...
- Security issue about static code checking
2019独角兽企业重金招聘Python工程师标准>>> Tool name:Coverity Brief introduction about Coverity: Prevent ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
- OWASP TOP 10
OWASP Open Web Application Security Project 官网:https://www.owasp.org/index.p... 下载:https://www.owasp ...
- Top 10 Digital Transformation Trends For 2020
文章目录 Top 10 Digital Transformation Trends For 2020 1. 5G for You and Me 2. A faster WiFi for a faste ...
- 2021 OWASP Top 10 榜单(初稿)发布,头牌易主
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OWASP Top 10 榜单列出的是最危险的 web 漏洞,时隔四年且十多年以来,该榜单霸主易主. OWASP Top 10 榜单创建于21世 ...
- 【OWASP Top 10】2021版
[OWASP Top 10]2021版 A01:失效的访问控制(Broken Access Control) 失效的访问控制(Broken Access Control)从第五位上升到了第一位.94% ...
- CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP ...
- 谷歌2019 学术指标发榜:CVPR首次进入Top 10,何恺明论文引用最高!
来源:新智元 本文约2400字,建议阅读5分钟. 谷歌2019年学术指标榜单~ 近日,谷歌发布了2019最新版学术指标,对收录的会议和期刊的影响力进行排名.AI类的多个顶会进入榜单Top 100,CV ...
最新文章
- Tesseract-OCR 3.04简单使用举例(读入图像输出识别结果)
- 下载perl的mysql模块_安装用于操作MySQL的Perl模块
- Webform--LinQ 增、删、改、查
- Struts2配置文件【代码库】
- 团队作业——随堂小测
- 类中内容在内存中到底是如何分配的呢?
- Vaadin和DukeScript中的Hello World
- PowerShell 远程执行任务
- 不重启修改计算机名称,批处理不重启快速修改计算机名
- 95-080-058-源码-启动-启动taskexecutor
- sql 拆解函数_在SQL Server数据库中拆分字符串函数
- javamailsender注入失败_使用Spring3.x框架的java mail支持来发送邮件
- 用计算机软件绘制思维导图,电脑软件绘制思维导图操作教程分享
- java粒子群算法_Java多线程技术实现的粒子群优化算法
- 五种最火供应链金融模式分析(附详细案例)
- csm和uefi_如何以简单正确的姿势理解“UEFI”和“BIOS”?
- matlab对函数时间抽样,信号与系统实验报告4 matlab时间抽样
- 2022年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
- epub.js制作电子书阅读网站
- python验证考拉兹猜想_Python考拉兹猜想输出序列代码实践